三种方式搞定buuctf之ciscn_2019_n_1

已于 2024-03-26 16:15:55 修改
阅读量623 收藏 6
点赞数 23
文章标签: 安全
于 2024-03-26 16:03:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54452942/article/details/137048075
版权

首先在将题目下载之后还是例行的检查文件的属性和保护措施:

这里说明目标是一个x86架构下64位的小端ELF文件,同时与前两道题不同的是开了栈不可执行的保护(也就是NX),也就说明这道题ret2shellcode就不行(虽然没怎么用过)

然后我们打开ida看看这个程序:

主程序没什么好看的,这里是必进func函数的,主要功能应该还是func函数里实现

点进func函数,可以看到一个gets函数,就是本题的溢出点,之后细看一下该函数进行了一次判断,比较成功则执行system函数

在这里就有大体的三种思路:

1、常规的在func函数返回时ret到system函数,可以返回到这里调用system(“cat /flag”),也可以构造ROP链拿shell,显然前者简单,后者没必要,在后面具体操作会说明

2、第二种是一种突发奇想,既然是比较,那我直接修改源文件让你比较失败则执行就可以了,但是只针对线下破解,线上当然不行,后面具体操作会说明

3、既然你要比较v2,v2作为局部变量也在栈中,直接通过溢出把11.28125写到栈里也可以过,这种方式本人懒惰,交于读者

具体操作:

0、为保真实性,在根目录下放了一个flag:

1、开始动态调试:

我们将断点下在func函数上,也就是

b *0x400676

然后“n”到gets函数,随便输点什么看栈空间

可见ret在df18,我们输入的“aaaaaaa”在dee0

所以我们的垃圾数据就是56个

这里我们在溢出了垃圾数据后的ret地方不可以直接填system函数的地址,system函数也是需要参数,所以我们跳到system(“cat /flag”)的地方:

形成exp.py如下:

from pwn import *

#io = gdb.debug('./ciscn_2019_n_1','break *0x400676')

io = process('./ciscn 2019_n_1')

sys = 0x4006be

payload = b'a'* 56 + p64(sys)

print(payload)

io.sendline(payload)

io.interactive()

成功:

2、在本地破解:

该函数的逻辑是比较成功则执行system,在汇编上体现为下面的“jnz”上

所以我们只需要取个反:比较失败则执行system

Edit->keypatch->patcher

Edit->Patch program -> apply patches to inputc file

更改后如下:

直接执行,随便输入:

成功

为萤
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACT.rar_Act 1
09-20
左右方向键+小键盘的1键 这个demo是问题多多,我也懒的去解决了,有兴趣的自己搞定下,呵呵 反正算是个c++游戏制作的作业之类的东西吧 说真的游戏的算法和构架真是垃圾,可能是因为我还没有学习数据结构关系吧, 我...
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 343
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 625
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 310
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 134
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 282
BUUCTF 做题练习
轻松搞定sql server 2000程序设计.rar_sql server_轻松搞定sql 2000程序设计
09-24
轻松搞定sql server 2000程序设计,入门级的SQL程序设计
轻松搞定ExtJS.zip_extjs_轻松搞定ExtJs
09-23
轻松搞定ExtJs,方便初学Extjs3.0的版本学习
轻松搞定C++语言_C++_轻松搞定C++_
09-30
c++语言讲义,帮助你轻松搞定C++,欢迎大家下载
彻底搞定C指针_彻底搞定C指针_
10-01
想说弄懂你不容易啊!我们许多初学指针的人都要这样的感慨。我常常在思索它,为什么呢?其实生活中处处都有指针。我们也处处在使用它。有了它我们的生活才更加方便 了。没有指针,那生活才不方便。...
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4312
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
BUUCTF ciscn_2019_n_1 1
qq_56313338的博客
09-10 189
可以通过溢出v2来覆盖v1的值从而获取flag首先v1是浮点数11.28125的二进制是0x413480。
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 1615
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
pwn学习(4)BUUCTF-ciscn_2019_n_1(浮点数转十六进制脚本积累)
m0_66039322的博客
09-22 133
IDA打开,如果满足的条件达成,就可以get flag。将代码11.28125在内存中的十六进制表示出来,找到栈溢出漏洞,输入可以覆盖到v2。脚本积累:浮点数转十六进制代码。checksec一下。
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
XDiku的博客
11-03 244
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
BUUCTF-ciscn_2019_ne_51
Rt1Text的博客
10-09 245
根据文件名可知是other shellcode。
BUUCTF-ciscn_2019_n_1 (新手pwner的成长日记4)
最新发布
weixin_58410275的博客
04-27 561
NX不可执行,其余保护没有开启,shellcode方法不可用,不过没关系,这个题考点不在这里。
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 272
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
BUUCTF刷题之路-ciscn_2019_n_11
qq_30528603的博客
05-27 184
非常简单的逻辑,类似于一个猜数字游戏,猜对了弹出flag,失败了还贴心的告诉你可能值。我们要做的就是修改v2变量的内容,让他等于11.28125。这次我们不需要覆盖返回地址只需要改v2的值就好了。接着我们算一下偏移【rbp-30h-rbp+4h】得到偏移为44个字节。意思就是说我们在44个字节之后填入11.28125覆盖v2的值就能使if语句成立。题目只开启了堆栈不可执行。无非就是不能在栈上执行shellcode无伤大雅。
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值